NIS 1, NIS 2 : le roi est mort, vive le roi !

Vous trouverez pas mal d’explications de toute sorte accessibles au bout de votre moteur de recherche préféré. Le présent article n’a pas pour but de paraphraser ceux qui ont décortiqué le texte bien plus profondément que je ne saurai le faire. Il faut plutôt s’attarder sur les points marquants du texte qui sautent aux yeux et appellent commentaires et débats.

La première (très) grosse différence, c’est la liste des organismes qui sont soumis à cette directive. Dans NIS 1, il était question des opérateurs de services essentiels (OSE) qui, grosso modo, se comptaient parmi les entreprises produisant des services de base relatifs à l’énergie, à l’eau ou à la santé, la finance, etc. Déjà pas mal de monde était concerné, d’autant que s’y ajoutaient les gros hébergeurs de données (fournisseurs de services numériques, FSN). Dans NIS 2, les dénominations retenues distinguent les « entités essentielles (ES) » des « entités importantes (EI) » et touchent encore plus de monde. Les instructions concernant la gouvernance (art. 20) et le découpage des mesures techniques (art. 21) se calquent, sans surprise, sur la norme 27001. On retrouve d’ailleurs en filigrane le PCDA classique avec une partie de l’article 33 sur la nécessité des contrôles.

Les articles 32 et 33 mentionnent en outre l’obligation de désigner, pour une période déterminée, un responsable chargé de veiller au respect des obligations réglementaires par l’ES. On voit poindre le pendant côté cyber de ce qu’est le DPO au RGPD : un agent désigné en charge de la cyber, pour l’instant de façon temporaire, mais qui pourrait bien devenir définitive avec NIS 3. Clairement, un manque est par là même comblé : il était assez frustrant de constater que la conformité des traitements de données personnelles bénéficiait d’un socle juridique beaucoup plus fourni que celui de la cyber.

Il semble également que les obligations de signalement des incidents, à la fois aux autorités et au « client » des prestations délivrées, soient en forte hausse, et c’est même à se demander pourquoi il aura fallu autant de temps pour en arriver là. Je veux bien que le « laisser-faire » du marché puisse être par moment préférable à l’interventionnisme d’État, mais quand on voit l’incurie totale de certaines entreprises qui se préoccupent comme d’une guigne des conséquences de leurs processus pourris sur leurs clients, il ne faut pas ensuite aller chouiner sur l’hyperréglementation.

La directive NIS 2 et le RGPD vont constituer à terme le socle des obligations de sécurisation des SI (vision technico-organisationnelle versus vision juridique, quoique les passerelles sont nombreuses entre les deux). Et c’est sans compter la liste des instructions ministérielles et obligations déguisées sous la forme de conditionnement au financement des SI ou de la cyber.

D’une part, NIS 2 me conforte dans l’idée que la 27001 reste le socle de base de la démarche cyber – et la 27701 pour le volet RGPD –, ce n’est « jamais » qu’une surcouche. D’autre part, les obligations NIS 1 et 2 me confortent encore une fois dans l’idée qu’il faut « horizontaliser » les services essentiels ou sensibles : ne pas raisonner par métier (pharmacie, biologie, etc.) mais par couche technique (datacenter, virtualisation, OS, etc.).

Ensuite, la charge des contrôles internes (Check) est clairement en train d’exploser pour les ES (ex-OSE). Si le processus de conformité n’est pas blindé, l’avenir va être compliqué – et je ne parle même pas de la phase Act ou de remédiation.

Enfin, il va falloir penser à rajouter dans les contrats fournisseurs et les sempiternelles chartes fournisseurs (souvent destinées à encadrer notamment la télémaintenance) le rappel de ces clauses NIS 2 et plus particulièrement les obligations de signalement des incidents. Voire demander au fournisseur de confirmer ou d’infirmer s’il relève ou non de NIS 2.

Globalement, la réglementation avance – selon moi – dans le bon sens. Il faudra juste être attentif à la séparation entre incitation et obligation, mais c’est un autre sujet.

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.